SQL-инъекция в IpSwitch WhatsUp Professional

Дата публикации:	23.06.2005
Всего просмотров:	1327
Опасность:	Средняя
Наличие исправления:	Да
Количество уязвимостей:	1
CVE ID:	CVE-2005-1250
Вектор эксплуатации:	Локальная сеть
Воздействие:	Неавторизованное изменение данных Обход ограничений безопасности
CWE ID:	Нет данных
Наличие эксплоита:	Нет данных
Уязвимые продукты:	Ipswitch WhatsUp Professional 2005
	Уязвимые версии: IpSwitch WhatsUp Professional 2005 SP1 Описание: Уязвимость позволяет удаленному пользователю выполнить произвольные команды в базе данных приложения. Уязвимость существует из-за недостаточной обработки входных данных в полях "User Name" и "Password" на странице авторизации /NmConsole/Login.asp. Удаленный пользователь может получить административный доступ к приложению. Примеры: 'UPDATE WebUser SET sPassword=DEFAULT WHERE sUserName='Admin'-- 'UPDATE WebUser SET nUserRightsMask=-1 WHERE sUserName='guest'-- URL производителя: www.ipswitch.com Решение: Установите обновление (3.2.3) с сайта производителя.
Ссылки:	IpSwitch WhatsUp Professional 2005 (SP1) SQL Injection Vulnerability

SQL-инъекция в IpSwitch WhatsUp Professional

Подпишитесь на email рассылку